Apple Pay is de "makkelijkste" manier om fraude te plegen, zo beweren criminelen. Een ondergrondse bot steelt daarbij de authenticatiecodes via sms, zo valt te lezen in chatgroepen op Telegram. Het geldt voor gewone bankpassen en creditcards.
@Chris: Het geldt voor alle kaarten die aan Apple Pay toegevoegd kunnen worden en waarbij de auth-flow via SMS of telefoon gaat. We hebben dit nu iets verduidelijkt.
Karel Appel
De malware gaat als volgt te werk: de eigenaar van de creditcard krijgt via een sms-bericht een eenmalige code van de bank. Die code moet worden ingevoerd om Apple Pay te activeren. De code komt echter nooit aan bij de eigenaar, maar wordt afgevangen en doorgestuurd naar de hacker.
Jullie gaan in het geheel niet in op de ‘malware’ ?! Hoe komt deze bv op mijn iPhone zodat er via de ING bevestigings-SMS fraude me gepleegd kan worden? Op hoeveel iPhones is deze geconstateerd? Hoe dit te checken?
@Karel Appel: Malware was een ongelukkige woordkeuze. We hebben dit al aangepast in het artikel.
danny
ZO! Slechte zaak dit … heel snel oplossen apple
Louis
Jullie schrijven in het artikel “De [sms met] code komt echter nooit aan bij de eigenaar”. Dat is iets anders dan wat Motherboard in hun artikel beschrijft. Zij hebben het erover dat de bot naar de eigenaar van de kaart belt met een smoes, zogenaamd namens de aanbieder van de kaart. Op dat moment proberen ze de kaart toe te voegen en laten ze de eigenaar van de kaart (als die erin trapt) de verstuurde code voorlezen. Dat is iets anders dan de code onderscheppen, en lijkt me ook wat minder trefzeker voor het kleine Nederlandse taalgebied (ik gok dat de bots alleen Engels doen).
Jos
Volgens mij zit het probleem vooral bij de Authentication method SMS. Dit kunnen ze tackelen door een authentication app verplicht te stellen. Aangezien iOS dit al ingebouwd heeft lijkt me dat een no brainer.
Wim
Als ik het goed begrijp hoef je je pas zorgen te maken wanneer je een nieuwe pas toe wil voegen EN geen SMS-je ontvangt. En er dus niks kan gebeuren met reeds gekoppelde kaarten.
Erik-jan
Heel kwalijk dit inderdaad! Het gaat in de eerste instantie om Apple pay maar het beveiligingslek komt vooral omdat banken nog oude en onveilige technieken gebruiken zoals SMS controles. Daarnaast kun je geen betaallimiet op Apple pay instellen. Hier heb ik expliciet om gevraagd maar dat wil de bank niet (niet nodig). Combineer dat met het feit dat ING nog jarenlang zonder 2FA werkte en limieten aan je wachtwoord-complexiteit stelde.
Volgende stap is dat de bank Apple de schuld geeft en zegt dat je akkoord gaat met de voorwaarden door Apple pay te gebruiken en we hebben de cirkel rond. Fun fact: deze legacy wordt door ons als belastingbetalers gefinancierd (2008 anyone?).
Swen
@Wim: Nee, je kunt de creditcard toch ook bij je vrouw installeren?
Ofwel ook bij een hacker waar jij niks van merkt want de sms komt niet aan.
Afgelopen dagen even verdiept in alle beveiliging die je bij apple kunt aanzetten, herstelsleutel, herstelcontacten en erfgename, maar enkel beveiliging met 06 is mogelijk, dit is toch alweer flink achterhaald en wetende dat dit makkelijk te omzeilen is met spoofing etc. M$ heeft dit beter op orde met Outlook en de authenticator app als voorbeeld.
Origineel geplaatst door Louis
Jullie schrijven in het artikel “De [sms met] code komt echter nooit aan bij de eigenaar”. Dat is iets anders dan wat Motherboard in hun artikel beschrijft. Zij hebben het erover dat de bot naar de eigenaar van de kaart belt met een smoes, zogenaamd namens de aanbieder van de kaart. Op dat moment proberen ze de kaart toe te voegen en laten ze de eigenaar van de kaart (als die erin trapt) de verstuurde code voorlezen. Dat is iets anders dan de code onderscheppen, en lijkt me ook wat minder trefzeker voor het kleine Nederlandse taalgebied (ik gok dat de bots alleen Engels doen).
Motherboard gaat vooral in op die telefonische bots die in een gesprekje proberen om de authenticatiecode te achterhalen. Maar ze schrijven ook:
“When a user adds their bank card to Apple Pay, the user’s bank may perform an additional verification check. This might be in the form of a text message, phone call, email, or by downloading another app, according to Apple’s website. This is where the bots step in: they are designed to siphon that verification code.”
Dat wekt de indruk dat de bots ook sms (‘text message’) proberen te onderscheppen. Maar ze zijn daar inderdaad wat onduidelijk over. In dit artikel bij RTL wordt de indruk gewekt dat het alléén om sms gaat, maar dat lijkt me ook niet juist.
Strebor
Slordig, maar het probleem lijkt me redelijk eenvoudig te fixen:
Na het toevoegen van een Apple Pay kaart (door jou of door een boef), zou jij eerst op een Apple apparaat ingelogd op jouw Apple ID, de toevoeging goed moeten keuren. Pas dan zou de nieuwe Apple Pay koppeling actief moeten worden. Zelfs als je iMessage op een ander Apple apparaat activeert krijg je op alle andere Apple apparaten, ingelogd op jouw Apple ID, een melding.
PeliileP
@Strebor: Nee, juist niet! Het probleem moet je oplossen via verantwoordelijke, niet Apple. De banken dienen geen SMS te gebruiken maar authenticatie via een veilig kanaal te laten verlopen zoals de bankapp. (In de ing app zitten meerdere beveiligingslagen die tal van zaken checked alvorens toegang te verlenen.)
Ik meen mij zelfs te herinneren dat ik recentelijk een MasterCard heb toegevoegd via een keuze (bankapp of via sms).
Strebor
@PeliileP Juist wel, Apple zegt zelf:
“Apple Pay stores only a portion of your actual card numbers and a portion of your Device Account Numbers, along with a card description. Your cards are associated with your Apple ID to help you add and manage your cards across your devices”
Kortom, ik wil Apple pay kunnen managen “accross my devices”. Dan vind ik een melding dat er een nieuw device gebruik maakt van mijn Apple Pay juist extra veilig.
Robert
Dus als je een betaling uitsluitend met Face-id goed keurt, is er niets aan de hand??? Begrijp ik dat goed?
PeliileP
@Strebor: Dan ga je voorbij aan de verantwoordelijkheid van de initiële authenticatie via/door de kaartleverancier. Dat is *niet* Apple. Dat Apple (afgeleide) kaartgegevens vastlegt in het apple-id profiel van de eigenaar is fijn maar de authenticatie op koppeling van bankgebruiker /kaarteigenaar, kaartgegevens en Apple-Id ligt echt bij de bank/kaartuitgevende partij.
EOTB
Origineel geplaatst door Robert
Dus als je een betaling uitsluitend met Face-id goed keurt, is er niets aan de hand??? Begrijp ik dat goed?
Nee. Touch of face id maakt niet uit. Het gaat om de eerste stap: koppelen van device met de kaart(en). Als een crimineel er dmv interceptie van activeringscode erin slaagt jouw pasje te koppelen, dan ben je de klos.
Maar, ik hoop/vermoed dat deze vorm van activering snel door de banken vervangen wordt door 2FA.
En hoewel ik de details niet ken, vermoed ik dat de kwetsbaarheid alléén “maar” speelt bij recente en toekomstige koppelingen en niet bij oude koppelingen. Dit omdat een koppelingscode niet oneindig houdbaar is en de tool kennelijk niet al een eeuwigheid operationeel is. Wat overigens niets afdoet aan de ernst van dit probleem.
EOTB
Origineel geplaatst door PeliileP @Strebor: Dan ga je voorbij aan de verantwoordelijkheid van de initiële authenticatie via/door de kaartleverancier. Dat is *niet* Apple. Dat Apple (afgeleide) kaartgegevens vastlegt in het apple-id profiel van de eigenaar is fijn maar de authenticatie op koppeling van bankgebruiker /kaarteigenaar, kaartgegevens en Apple-Id ligt echt bij de bank/kaartuitgevende partij.
Eens, al denk ik dat jullie beide een punt hebben 😉
Robert-Jan Van Kuppeveld
Dit is nu precies de reden waarom Apple ook andere betaal diensten moet toestaan. Deze zijn van een bank of creditcard maatschappij en zij hebben wel fraude detectie.
Bij wie moet je nu aankloppen er gefraudeerd is? De banken zullen naar Apple wijzen en Apple naar de banken.
Voor mij een goede reden om met Apple Pay te stoppen ondanks dat het echt heel handig is.
De andere Wim
Het grote probleem op de iPhone is dus dat er geen verificatie is bij de betaling is, anders dan het unlocken van het toestel. Het bedrag kan daardoor heel hoog oplopen. Anders dan Google Pay en Samsung Pay zet Apple daar de deur wagenwijd open.
Worden Apple Pay notificaties op al je ios toestellen weergegeven?
Ade
Ik denk dat de reacties een beetje overtrokken zijn van sommige. Ja, …de manier is wellicht simpel te noemen, maar er wordt in het oorspronkelijke artikel geschreven over interceptie als de verificatie moet plaats vinden voor de bankpas.
schrijft hierover;
“Adding additional verification
A card issuer can decide whether a credit or debit card requires additional verification. Depending on what’s offered by the card issuer, the user may be able to choose between different options for additional verification, such as a text message, email, customer service call or a method in an approved third-party app to complete the verification. For text messages or email, the user selects from contact information the issuer has on file. A code is sent, which must be entered into the Wallet app, Settings or the Apple Watch app. For customer service or verification using an app, the issuer performs their own communication process.”
Van de gegeven opties denk ik dat sms/mail/telefoongesprek uitgesloten moet worden door zowel om deze manier überhaupt aan te bieden. Of dat de banken alleen gebruik maken van verificatie door een in app verificatie in de bank haar eigen app./ bekende toegestane Authenticator app.
Het feit dat in het oorspronkelijk artikel verder staat dat aanbieders van botnets voor deze fraude een systeem hebben ontwikkeld om klanten te bellen om geloofwaardig over te komen bij de klant om een eenmalige verificatie code door te geven die ze hebben ontvangen per sms geeft al aan dat het echt voor het proces van installatie/verificatie gaat van nieuw toe te voegen bankpassen.
Ook dit lijkt mij redelijk simpel te voorkomen. Ten eerste denk ik niet dat die botnets telefoontjes Nederlands zijn,(Maar kan wellicht nog komen) dus je moet je al afvragen als je wordt gebeld of dit wel überhaupt klopt. Maar in het proces van verificatie kan voordat er wordt gekozen voor verificatie middels sms/mail, een melding worden ingebouwd door de bank, dat medewerkers NOOIT contact op zullen nemen om een 2FA code te vragen aan de klant.
In krijg de indruk dat als je een beetje clever nadenkt dit soort fraude jou niet snel overkomt nadat je recent een bankkaart hebt toegevoegd in Pay.
Bob
Ik zit bij ASN. Nergens last van dus. 😔
Patrick
Er staat dat onder andere ING nog werkt met TAN-codes via SMS, maar dit is al een tijd lang niet meer aan de hand. Voor Apple Pay (en alle andere handelingen) moet je de ING-app gebruiken om het goed te keuren.
loyd
Origineel geplaatst door Robert Dus als je een betaling uitsluitend met Face-id goed keurt, is er niets aan de hand??? Begrijp ik dat goed?
Nee want het gaat niet om het betalen, maar om het toevoegen van betaalkaarten.
T
Origineel geplaatst door Patrick Er staat dat onder andere ING nog werkt met TAN-codes via SMS, maar dit is al een tijd lang niet meer aan de hand. Voor Apple Pay (en alle andere handelingen) moet je de ING-app gebruiken om het goed te keuren.
Precies. Beetje vreemd artikel
patjem
Als je met je Nederlandse creditcard opeens een grote uitgave in het buitenland doet, hangt de kaartuitgever al snel aan de lijn om te controleren of het wel klopt. Via Apple Pay kan dat niet, omdat ze de details van de transactie niet kunnen zien.
Echt complete onzin wat je hier schrijft. Echte *alle* transacties worden gemonitord. En zodra het maar een beetje afwijkt hangt AMEX aan de telefoon, heb je een tijdelijke blokkade of een e-mail of sms om contact op te nemen over ene vreemde transactie.
Krijg uit het artikel de indruk dat het alleen over credit cards gaat.
Of zijn alle bankkaarten prooi voor deze methode ?
@Chris: Het geldt voor alle kaarten die aan Apple Pay toegevoegd kunnen worden en waarbij de auth-flow via SMS of telefoon gaat. We hebben dit nu iets verduidelijkt.
Jullie gaan in het geheel niet in op de ‘malware’ ?! Hoe komt deze bv op mijn iPhone zodat er via de ING bevestigings-SMS fraude me gepleegd kan worden? Op hoeveel iPhones is deze geconstateerd? Hoe dit te checken?
@Karel Appel: Malware was een ongelukkige woordkeuze. We hebben dit al aangepast in het artikel.
ZO! Slechte zaak dit … heel snel oplossen apple
Jullie schrijven in het artikel “De [sms met] code komt echter nooit aan bij de eigenaar”. Dat is iets anders dan wat Motherboard in hun artikel beschrijft. Zij hebben het erover dat de bot naar de eigenaar van de kaart belt met een smoes, zogenaamd namens de aanbieder van de kaart. Op dat moment proberen ze de kaart toe te voegen en laten ze de eigenaar van de kaart (als die erin trapt) de verstuurde code voorlezen. Dat is iets anders dan de code onderscheppen, en lijkt me ook wat minder trefzeker voor het kleine Nederlandse taalgebied (ik gok dat de bots alleen Engels doen).
Volgens mij zit het probleem vooral bij de Authentication method SMS. Dit kunnen ze tackelen door een authentication app verplicht te stellen. Aangezien iOS dit al ingebouwd heeft lijkt me dat een no brainer.
Als ik het goed begrijp hoef je je pas zorgen te maken wanneer je een nieuwe pas toe wil voegen EN geen SMS-je ontvangt. En er dus niks kan gebeuren met reeds gekoppelde kaarten.
Heel kwalijk dit inderdaad! Het gaat in de eerste instantie om Apple pay maar het beveiligingslek komt vooral omdat banken nog oude en onveilige technieken gebruiken zoals SMS controles. Daarnaast kun je geen betaallimiet op Apple pay instellen. Hier heb ik expliciet om gevraagd maar dat wil de bank niet (niet nodig). Combineer dat met het feit dat ING nog jarenlang zonder 2FA werkte en limieten aan je wachtwoord-complexiteit stelde.
Volgende stap is dat de bank Apple de schuld geeft en zegt dat je akkoord gaat met de voorwaarden door Apple pay te gebruiken en we hebben de cirkel rond. Fun fact: deze legacy wordt door ons als belastingbetalers gefinancierd (2008 anyone?).
@Wim: Nee, je kunt de creditcard toch ook bij je vrouw installeren?
Ofwel ook bij een hacker waar jij niks van merkt want de sms komt niet aan.
Afgelopen dagen even verdiept in alle beveiliging die je bij apple kunt aanzetten, herstelsleutel, herstelcontacten en erfgename, maar enkel beveiliging met 06 is mogelijk, dit is toch alweer flink achterhaald en wetende dat dit makkelijk te omzeilen is met spoofing etc. M$ heeft dit beter op orde met Outlook en de authenticator app als voorbeeld.
Motherboard gaat vooral in op die telefonische bots die in een gesprekje proberen om de authenticatiecode te achterhalen. Maar ze schrijven ook:
Dat wekt de indruk dat de bots ook sms (‘text message’) proberen te onderscheppen. Maar ze zijn daar inderdaad wat onduidelijk over. In dit artikel bij RTL wordt de indruk gewekt dat het alléén om sms gaat, maar dat lijkt me ook niet juist.
Slordig, maar het probleem lijkt me redelijk eenvoudig te fixen:
Na het toevoegen van een Apple Pay kaart (door jou of door een boef), zou jij eerst op een Apple apparaat ingelogd op jouw Apple ID, de toevoeging goed moeten keuren. Pas dan zou de nieuwe Apple Pay koppeling actief moeten worden. Zelfs als je iMessage op een ander Apple apparaat activeert krijg je op alle andere Apple apparaten, ingelogd op jouw Apple ID, een melding.
@Strebor: Nee, juist niet! Het probleem moet je oplossen via verantwoordelijke, niet Apple. De banken dienen geen SMS te gebruiken maar authenticatie via een veilig kanaal te laten verlopen zoals de bankapp. (In de ing app zitten meerdere beveiligingslagen die tal van zaken checked alvorens toegang te verlenen.)
Ik meen mij zelfs te herinneren dat ik recentelijk een MasterCard heb toegevoegd via een keuze (bankapp of via sms).
@PeliileP Juist wel, Apple zegt zelf:
“Apple Pay stores only a portion of your actual card numbers and a portion of your Device Account Numbers, along with a card description. Your cards are associated with your Apple ID to help you add and manage your cards across your devices”
Kortom, ik wil Apple pay kunnen managen “accross my devices”. Dan vind ik een melding dat er een nieuw device gebruik maakt van mijn Apple Pay juist extra veilig.
Dus als je een betaling uitsluitend met Face-id goed keurt, is er niets aan de hand??? Begrijp ik dat goed?
@Strebor: Dan ga je voorbij aan de verantwoordelijkheid van de initiële authenticatie via/door de kaartleverancier. Dat is *niet* Apple. Dat Apple (afgeleide) kaartgegevens vastlegt in het apple-id profiel van de eigenaar is fijn maar de authenticatie op koppeling van bankgebruiker /kaarteigenaar, kaartgegevens en Apple-Id ligt echt bij de bank/kaartuitgevende partij.
Nee. Touch of face id maakt niet uit. Het gaat om de eerste stap: koppelen van device met de kaart(en). Als een crimineel er dmv interceptie van activeringscode erin slaagt jouw pasje te koppelen, dan ben je de klos.
Maar, ik hoop/vermoed dat deze vorm van activering snel door de banken vervangen wordt door 2FA.
En hoewel ik de details niet ken, vermoed ik dat de kwetsbaarheid alléén “maar” speelt bij recente en toekomstige koppelingen en niet bij oude koppelingen. Dit omdat een koppelingscode niet oneindig houdbaar is en de tool kennelijk niet al een eeuwigheid operationeel is. Wat overigens niets afdoet aan de ernst van dit probleem.
Eens, al denk ik dat jullie beide een punt hebben 😉
Dit is nu precies de reden waarom Apple ook andere betaal diensten moet toestaan. Deze zijn van een bank of creditcard maatschappij en zij hebben wel fraude detectie.
Bij wie moet je nu aankloppen er gefraudeerd is? De banken zullen naar Apple wijzen en Apple naar de banken.
Voor mij een goede reden om met Apple Pay te stoppen ondanks dat het echt heel handig is.
Het grote probleem op de iPhone is dus dat er geen verificatie is bij de betaling is, anders dan het unlocken van het toestel. Het bedrag kan daardoor heel hoog oplopen. Anders dan Google Pay en Samsung Pay zet Apple daar de deur wagenwijd open.
Worden Apple Pay notificaties op al je ios toestellen weergegeven?
Ik denk dat de reacties een beetje overtrokken zijn van sommige. Ja, …de manier is wellicht simpel te noemen, maar er wordt in het oorspronkelijke artikel geschreven over interceptie als de verificatie moet plaats vinden voor de bankpas.
schrijft hierover;
Van de gegeven opties denk ik dat sms/mail/telefoongesprek uitgesloten moet worden door zowel om deze manier überhaupt aan te bieden. Of dat de banken alleen gebruik maken van verificatie door een in app verificatie in de bank haar eigen app./ bekende toegestane Authenticator app.
Het feit dat in het oorspronkelijk artikel verder staat dat aanbieders van botnets voor deze fraude een systeem hebben ontwikkeld om klanten te bellen om geloofwaardig over te komen bij de klant om een eenmalige verificatie code door te geven die ze hebben ontvangen per sms geeft al aan dat het echt voor het proces van installatie/verificatie gaat van nieuw toe te voegen bankpassen.
Ook dit lijkt mij redelijk simpel te voorkomen. Ten eerste denk ik niet dat die botnets telefoontjes Nederlands zijn,(Maar kan wellicht nog komen) dus je moet je al afvragen als je wordt gebeld of dit wel überhaupt klopt. Maar in het proces van verificatie kan voordat er wordt gekozen voor verificatie middels sms/mail, een melding worden ingebouwd door de bank, dat medewerkers NOOIT contact op zullen nemen om een 2FA code te vragen aan de klant.
In krijg de indruk dat als je een beetje clever nadenkt dit soort fraude jou niet snel overkomt nadat je recent een bankkaart hebt toegevoegd in Pay.
Ik zit bij ASN. Nergens last van dus. 😔
Er staat dat onder andere ING nog werkt met TAN-codes via SMS, maar dit is al een tijd lang niet meer aan de hand. Voor Apple Pay (en alle andere handelingen) moet je de ING-app gebruiken om het goed te keuren.
Nee want het gaat niet om het betalen, maar om het toevoegen van betaalkaarten.
Precies. Beetje vreemd artikel
Echt complete onzin wat je hier schrijft. Echte *alle* transacties worden gemonitord. En zodra het maar een beetje afwijkt hangt AMEX aan de telefoon, heb je een tijdelijke blokkade of een e-mail of sms om contact op te nemen over ene vreemde transactie.